VT Detection ratio: 1 / 44 awt43abr.zip 吓尿了，又测试一遍，毛豆沙盘值得信任！

katatlove

firefox3 发表于 2012-12-26 14:53
你直接进毒网看看

BG 是被过了，有启动项被加，病毒文件也在

firefox3

katatlove 发表于 2012-12-26 15:05
BG 是被过了，有启动项被加，病毒文件也在

吓尿了，毛豆沙盘挺住了

a256886572008

我這邊沒有被添加可疑啟動項。

2012-12-26 15:10:47   C:\Documents and Settings\Roger\wgsdgsdgdsgsd.exe   Sandboxed As   Partially Limited   

2012-12-26 15:11:27   C:\Documents and Settings\Roger\awt43abr.exe   Sandboxed As   Partially Limited   

2012-12-26 15:11:33   C:\WINDOWS\system32\wuauclt.exe   Sandboxed As   Partially Limited   

2012-12-26 15:11:45   C:\WINDOWS\system32\wuauclt.exe   Access Memory   System   

2012-12-26 15:11:45   C:\WINDOWS\system32\wuauclt.exe   Modify File   C:\Documents and Settings\Roger\awt43abr.exe   

2012-12-26 15:11:45   C:\WINDOWS\system32\wuauclt.exe   Modify Key   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run   

2012-12-26 15:11:45   C:\WINDOWS\system32\wuauclt.exe   Modify File   C:\Documents and Settings\All Users\Local Settings\Temp\msnrahru.exe   

firefox3

a256886572008 发表于 2012-12-26 15:16
我這邊沒有被添加可疑啟動項。

是啊 我刚又测试一遍，确认拦截成功，之前测试不严谨，抱歉

a256886572008

firefox3 发表于 2012-12-26 15:18
是啊 我刚又测试一遍，确认拦截成功，之前测试不严谨，抱歉

我還在等 上次那個 java.exe 直接做壞事 的樣本再現

firefox3

a256886572008 发表于 2012-12-26 15:20
我還在等 上次那個 java.exe 直接做壞事 的樣本再現

是说我上次在毛豆区发的那个毛豆沙盘被穿那个毒网吗？

firefox3

saga3721 发表于 2012-12-26 14:45
都是双击的，两个虚拟机快照分别双击，一个微点一个OP均无反应
可能是网银大盗，游戏大盗。不过也可能是 ...

晕，这样说就不好了吧，你看没看启动项是否被添加

firefox3

katatlove 发表于 2012-12-26 15:05
BG 是被过了，有启动项被加，病毒文件也在

重启会是怎样

katatlove

firefox3 发表于 2012-12-26 15:23
重启会是怎样

重启还是那样，mszsip.zip 这个 BD和BG 都过了

firefox3

katatlove 发表于 2012-12-26 15:39
重启还是那样，mszsip.zip 这个 BD和BG 都过了

我是说重启之后系统有没有异常？启动项是被添加，没错，但系统有没有被锁屏什么的